應用程式終止時 竟是駭客入侵時

隨著數位轉型迅速推進，每年超過35,000個應用程式進入終止產品（End-of-Life，EOL），這對企業來說是一個不容忽視的風險。

編譯／Cynthia

隨著數位轉型迅速推進，每年超過35,000個應用程式進入終止產品（End-of-Life，EOL），這對企業來說是一個不容忽視的風險。EOL狀態表示這些應用程式將停止接受功能更新，雖然可能仍會有必要的安全修補程式，但整體支援會大幅減少。當應用程式進入EOL階段後，企業面臨的安全挑戰會增加，駭客會利用這些漏洞進行攻擊。因此，企業必須提前規劃應對策略，以有效管理風險，確保數位資產的安全與穩定。

了解終止產品與終止服務的差異

在處理應用程式的EOL問題時，我們需要區分「終止產品」和「終止服務」（End of Support）兩個概念。「終止產品」表示應用程式將停止接收新功能更新，在某些情況下，仍可能會有必要的安全性修補程式。相對地，當應用程式進入「終止服務」狀態時，就完全不再提供任何形式的更新，包括安全性修補程式。這使得這些應用程式成為駭客的主要攻擊目標，因為已知的漏洞無法修復。企業必須重視這些應用程式的管理，並及早規劃更新或替換方案，以降低風險。

更多新聞：挖雲端漏洞 中國突破美國限令拿到晶片與技術

過期應用程式的風險與挑戰

過期應用程式的風險可從實際案例中看出。例如，微軟在2019年為Windows XP推出更新，雖然官方支援早在五年前就結束，但這次更新修補遠端桌面服務的漏洞，以防範2017年WannaCry勒索病毒的攻擊。我們不能僅靠這類例外情況來保證所有過期軟體的安全。另一例是Apache Log4j，這是一個廣泛使用的日誌記錄工具，其舊版本存在嚴重漏洞，許多依賴它的應用程式未能及時更新，造成安全風險。同樣，資料庫伺服器和Web伺服器的遷移挑戰也很大，尤其是當這些系統支援核心業務時，遷移成本往往非常高。

企業面臨的EOL管理挑戰

在處理應用程式的EOL管理時，企業面臨多種困境和挑戰。資安長（CISOs）常常難以僅憑安全理由獲得內部支持，特別是當變更不會直接帶來收入增長時。某些應用程式已經失去原廠支援，或者無法輕易更換操作系統和硬體，這使得遷移成本高昂。此外，「沒壞別修」的心態也是一大阻礙，這種想法認為只要系統尚未出現明顯問題，就不需升級或替換，這樣的心態會使安全風險逐漸積累，最終可能引發重大安全事件。

提前規劃以管理EOL風險

為了更有效地管理EOL應用程式的風險，企業應該提前規劃替代方案並密切追蹤即將到期的資產。這樣可以讓企業有足夠時間討論和準備遷移計畫，並在商業案例和風險討論中，說服應用程式擁有者或開發人員支持相關措施。隨著應用程式逐漸遷移至雲端，這也是優化軟體架構的好時機。通過刪除不再受支持的軟體套件，可以有效降低風險、提升效能，同時帶來額外的商業利益，使變更成為投資，而非僅僅是成本。

資料來源：The Verge

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 應用程式終止時 竟是駭客入侵時 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。